Rootkit.Win32. Agent.pp

Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ. Является драйвером Windows (PE SYS-файл). Имеет размер 40960 байт. Ничем не упакована. Написана на C.

Инсталляция

Данная программа инсталлируется в систему вместе с другими вредоносными программами с целью скрытия их активности на зараженном компьютере.

После запуска троянец копирует свое тело в системный каталог Windows под именем "ctl_w32.sys":

%System%\drivers\ctl_w32.sys

Для автоматического запуска при каждом следующем старте системы троянец регистрирует следующую службу в реестре:

[HKLM\System\CurrentControlSet\Services\ctl_w32]
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%\drivers\ctl_w32.sys"

Деструктивная активность

Данная троянская программа пытается получить доступ к драйверу с именем "\\.\Rntm2", если таковой был предварительно установлен в систему.

После запуска вредоносная программа удаляет свой исходный файл.